基于 Django rest 框架令牌的身份验证,令牌在 http 请求中可见 header
Django rest framework token based authentication, tokens are visible in http request header
我已经使用 django rest 框架实现了基于令牌的身份验证。
但是当使用浏览器的开发人员工具查看时,令牌在 HTTP 请求中是可见的 header。在 Postman 的帮助下,我可以使用此令牌从 API 获取私人数据。因此我觉得这不是一种安全的身份验证方式。我的问题是对于每个基于令牌的身份验证,令牌在 HTTP 请求 header 中是否可见。如果不是,请告诉我应该使用哪一个。
令牌特定于用户的此登录会话。如果用户已登录并且攻击者可以物理访问设备,他仍然可以通过您的界面访问所有需要的数据。因此加密令牌将毫无用处,因为它仍然作为字符串发送到后端。它类似于发送密码的哈希值而不是密码本身,哈希值成为新密码。如果在设定的时间段内(如 5 分钟)没有 activity(由 banks/wallets 使用),您可以做的最好的事情是使令牌无效。另一个是基于用户代理的 Postman 查询拒绝。或者最偏执的是,您可以将设备指纹 (https://github.com/Valve/fingerprintjs) 映射到令牌(在登录期间),然后阻止任何其他设备访问相同的令牌。希望这会有所帮助,因为还不算太晚。
我已经使用 django rest 框架实现了基于令牌的身份验证。
但是当使用浏览器的开发人员工具查看时,令牌在 HTTP 请求中是可见的 header。在 Postman 的帮助下,我可以使用此令牌从 API 获取私人数据。因此我觉得这不是一种安全的身份验证方式。我的问题是对于每个基于令牌的身份验证,令牌在 HTTP 请求 header 中是否可见。如果不是,请告诉我应该使用哪一个。
令牌特定于用户的此登录会话。如果用户已登录并且攻击者可以物理访问设备,他仍然可以通过您的界面访问所有需要的数据。因此加密令牌将毫无用处,因为它仍然作为字符串发送到后端。它类似于发送密码的哈希值而不是密码本身,哈希值成为新密码。如果在设定的时间段内(如 5 分钟)没有 activity(由 banks/wallets 使用),您可以做的最好的事情是使令牌无效。另一个是基于用户代理的 Postman 查询拒绝。或者最偏执的是,您可以将设备指纹 (https://github.com/Valve/fingerprintjs) 映射到令牌(在登录期间),然后阻止任何其他设备访问相同的令牌。希望这会有所帮助,因为还不算太晚。